智慧城市建设中网络信息安全的
法律保障问题
矫健律师
内容摘要:在智慧城市建设中,计算机信息系统是不可或缺的,信息安全问题更是重中之重,在技术层面,法律制度应对网络安全技术、产品创新进行激励;从法律建设的层面,对网络信息安全评审制度加以完善;应区分全民普法与专门人才培养的针对性开展全民信息安全教育
关键词:信息化 网络信息安全 信息安全法
当今世界,经济全球化,网络无国界。随着全球信息化和信息技术的不断发展,信息化应用的不断推进,信息安全形势日趋严重:一方面信息安全事件发生的频率大规模增加,信息安全问题日趋多样化;另一方面信息安全事件造成的损失越来越大。存在于网络中的国家政治、经济、军事信息、企事业单位的商业信息,公民个人信息都直接反映和表现为国家利益。确保计算机信息系统和网络的安全,特别是国家重要基础信息系统的安全,已成为信息化建设过程中必须解决的重大问题。相应的,保障网络信息安全也成为法律必须高度关注的领域。
在今日错综复杂的国际、国内形势下,某些西方国家需要互联网的自由来推动民主革命;而强化网络安全又会同保护个人隐私产生矛盾。各种情况对我国网络安全和社会安全的影响应得到足够的重视。本文主要从智慧城市建设中网络信息安全的法律保障问题中的技术创新、法律建设、安全教育几个方面做初步探讨。
一、法律制度对网络安全技术、产品创新的激励
现代化的信息手段对于人类的社会管理、生产活动、经济贸易、文化教育以至于战争方式都产生了革命性的影响。而我国由于在计算机操作系统的安全和芯片的安全上的技术成熟度问题,例如包括一直困扰我国信息安全的技术上的后门或缩微无线发射装置等问题,让我们的计算机信息系统的安全掌握在别人手里。所以,要加强技术上的安全防范能力是一个急待解决的问题。
在网络安全技术层面,随着信息技术的进步,信息化应用的不断推进,信息安全问题日趋多样化,用户需要解决的信息安全问题不断增多,解决这些问题所需要的信息安全手段不断增加,并且这些技术也在不断升级,不会一劳永逸。
那些信息化进程起步较早、水平较高的发达国家,其信息安全领域的研究水平和产业化程度已令人相当瞩目。从技术的角度,针对高速网络环境下如何获取网络数据实现网络监控——对网络流量可视、可控、可追溯,是网络安全技术目前所要解决的一个问题。美国硅谷一家公司开发的一种技术,以高性能专用集成电路芯片为核心,从技术上基本实现ASIC 架构的对网络L2-L7层流量分析控制和安全管理,将防火墙的功能也纳入芯片中,采用DPI 技术,可以全方位的优化用户的网络,迅速提升网络使用有效性和安全可控性。实现了网络流量的可视、可控、可追溯,实现了高性能流量安全管理,我们国内一些学校、医院还有一家电信公司都使用了它。它对用户的控制包括
用户传输文件的时间和文件名、传输语音/视频的时间,可以控制用户的流量,防止用户影响工作、泄密、占用带宽。这个产品可以针对全局、组、用户等限制与允许,日志查询功能强大,对局域网络的资料安全用很好的作用,实际上是实现局域网的可以控制。对这样的产品,我们国内的技术人员如何通过知识产权制度,实现该技术的推广、升级是可以考虑的。我们中国人是聪明的,我们在网络安全技术上的落后是可以改变的。
虽然技术层面的保护不是法律意义上的保护,但是针对技术上的落后,是可以通过法律层面的鼓励措施,促进技术的发展。从法律上、政策上对相关的行业、产品、人才给予扶持,包括财政政策上的支持。同时,对安全产品类标准应跟踪网络技术发展时时更新。这样才能在网络安全产品上有更多自主创新、自主知识产权的东西出来。比如象《国家知识产权战略纲要》中,在特定领域知识产权部分,可以专门针对网络安全产品做出发展战略。并对高技术企业深入宣传,让科技工作者知道国家的鼓励政策,有效利用政策迅速实现技术的进步。
二、法律建设:对网络信息系统实施定期信息安全风险评估制度的完善
2009年3月15日,央视315晚会曝光了海量信息科技网盗窃个人信息的实录,包括全国各地车主的信息,各大银行用户数据,还有股民信息等,令国人极度震惊。之后事关信息安全的事件层出不穷。
信息安全问题是社会信息化发展过程中无法回避的问题。
因为网络个人信息的丢失和被非法窃取,网络隐私权被关注。实际上从另一个角度,这也是个人信息的安全问题。但是网络信息安全不只是公民个人权益,信息安全还涉及企业生存、金融风险防范、社会稳定和国家安全。它是物理网络安全、数据信息内容安全、信息基础设施安全与公共和国家信息安全等的总和。涉及的法律建设也是庞大的法律群。
由于信息安全问题直接影响到国家的安全利益和经济利益,因此西方各国通过颁布标准、实行有效的测评认证制度等方式,对信息技术和信息安全产品实行严格、有效的管理。即各个国家都会通过法律建立信息安全措施,作为一种法律制度,只是因技术、国力和认识的差距,安全措施有差别。在此重点谈网络信息安全风险的评估制度的法律完善。
在信息系统评估方面,信息安全风险评估经历了一段很长时间的发展过程。风险评估的对象从通信系统、操作系统、网络系统发展到涵盖技术和管理的整个信息安全保障体系;风险评估的方面从单一的保密性发展到了包括机密性、完整性、可用性和可追究性等安全特性,以及它们的保障程度;风险评估模型从借鉴其他领域的模型发展到开发出适用于网络信息风险评估的专用模型;风险评估方法的定性分析和定量分析则不断被学者和安全分析人员完善和扩充。由于风险分析与评估作为在信息系统安全工作过程中的一个重要环节,在整个信息系统的生命周期中占有十分重要的作用,关系到信息系统安全建设的
成败。所以,对信息安全风险分析与评估方法的研究吸引了世界各国政府、相关研究机构及学者的兴趣,已经产生了一些研究成果,很多机构也已经开展了风险分析与评估业务。有关介绍可以参考冯登国等编著的《信息社会的守护神——信息安全》的有关章节。在中国,如中国国家信息安全测评认证中心上海测评中心就是为信息网络安全建设服务的。
有人说,网络信息安全是相对的,不安全才是绝对的。因此,当我们的网络信息安全计划和措施制定并实施过程中,由于技术和破坏者水平的提高,信息系统安全性会随着时间推移而发生变化,因此,在信息系统发生重大修改时,或没有修改但经过一个规定的时间段后,对信息系统安全性应评审一次,比如美国规定三年。评审的方式可以是外界机构独立的审查,也可以是自检。评审时可以使用一些技术工具:如病毒检测软件、网络薄弱环节评估工具、或者黑客侵入测试工具等。这样对网络信息系统有前瞻性的掌控,避免安全漏洞、安全事件出现后才亡羊补牢。
我国涉及网络安全的法律、法规包括《治安管理处罚法》、《刑法》等几十部之多,对违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的都有相关的处罚规定。具体到信息安全测评的标准、法规,包括《信息安全技术 网络脆弱性扫描产品测试评价方法》(GB/T20280——2006)、《信息安全技术 防火墙技术要求和测试评价方法》(GB/T20281——2006)
等一系列标准,为开展面向信息安全产品的测评工作提供了基本依据。国标《信息安全风险评估规范》(GB/T20984——2007),规定了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法等内容。
在此希望对网络信息安全测评制度不断完善,并以法律的形式强化。对网络信息安全测评在基础网络、重点单位之外,在其他网络部分,也要按标准程序进行。特别是从法律人的角度,以法律的视角,关注、研究网络信息安全测评制度,促进相关法律制度、体系的完善,形成保证网络安全的包括技术、管理和法律在内的完整体系。
三、安全教育:有针对性的开展全民普法与专门人才培养
信息安全涉及的面和层次很多,必须形成全民的信息安全意识,才能有效保护国家信息安全。所以,信息安全教育要有针对性。
从法律层面明确,以不同的财力、人力资源投入,把网络信息安全教育制度化。
(一)普法性的宣传、教育
从义务教育阶段开始信息安全的普法教育;在高等教育、职业技术教育阶段,有相应的课程设置。对保有信息的单位,应明确信息收集、加工、管理和使用的规范。
1998年英国《数据保护条例》对商业公司处理个人资料有如下要求:1向英国数据保护管理委员会通报自己的真实身份,说明处理个人数据的过程及处理该数据的目的;对处理的个人数据,该数据来
源人有权得到经处理的数据,有权核对、纠正自己的数据记录,并有权制止某些情况的处理。对比我国商业公司收集处理个人资料的情形,可以发现我国的全民信息安全意识还是很缺乏的,对什么人可以收集自己信息、用途、查询等等,根本是没有明确的意识。信息安全是一个涉及面广、涉及层次多的问题。因此,要大力普及信息安全的有关知识,形成全民的信息安全防范心理,才能有效地保护国家信息安全和个人信息安全。
(二)专门人才培养
从法律层面,建立人才培养机制。谈到计算机信息系统,涉及硬件和软件技术,网络技术。在职业教育、高校专业设置方面、在学科建设方面,都要考虑培养计算机信息安全技术人才,包括网络安全管理的人才的需要。我们培养出来的人才,不仅仅是普通的计算机、网络管理人才,还应该有具有网络信息安全国际宏观视野的人才,保障我们国家网络信息的安全。
四、在智慧城市建设中,信息安全问题是重中之重
早在10多年前,美国军方就将网络空间列为陆地、海洋、天空、太空之外的“第五空间”。北约也正在讨论是否要将传统意义上的防务同盟扩展到网络安全和基础设施保护领域。
据2012年2月6日人民网文章“慕尼黑安全政策会议聚焦网络安全”介绍,在第四十八届慕尼黑安全政策会议上,美国前中央情报局局长海顿说,一年多前的“震网”蠕虫病毒,足以让人回想起1945
年的原子弹实验。因为这是人类历史上第一次由软件系统攻击造成物理破坏的先例,宛如出现了一种“新式武器”。
俄罗斯网络安全公司总裁卡巴斯基把网络安全问题归成四类:首先是网络犯罪,比如盗用信用卡;其次是网络黑客行为,政府机关如不加强管理,网络黑客容易演变成网络恐怖主义;第三类是网络间谍;最后是网络战争。卡巴斯基认为当前最重要的是加强网络安全意识教育,以及进行国际间对话。
这些观点足以进一步加深我们对网络安全的认识。总之,在智慧城市建设中,计算机信息系统是不可或缺的,信息安全问题更是重中之重,是否应该拿出当年研制两弹一星的态度,迅速把有关信息安全的技术、产品和管理体系提高到应有的水平。希望我国信息技术不断进步,有更多的创新技术出现,保障我们的社会信息化状态不受外来的威胁与侵害,我们的信息技术体系不受外来的威胁与侵害。